Cyberincident bij ChipSoft: lees de laatste updates
Bij softwarebedrijf ChipSoft is een cyberincident gemeld. ChipSoft heeft inmiddels bevestigd dat het gaat om een ransomware-incident waarbij criminelen daadwerkelijk persoonsgegevens van patiënten, waaronder medische gegevens, hebben gestolen. ChipSoft heeft vooralsnog geen aanvullende detailinformatie gedeeld in verband met het lopende onderzoek.
Update (16 april 2026 – 19:00 uur)
Er heeft een ransomware-aanval plaatsgevonden bij ChipSoft, uitgevoerd door cybercriminelen. Forensisch onderzoek heeft inmiddels uitgewezen dat deze criminelen daadwerkelijk persoonsgegevens van patiënten, waaronder medische gegevens, van onder andere huisartsen hebben ontvreemd.
Alle getroffen huisartsen en zorginstellingen worden geïnformeerd door ChipSoft. Het forensisch onderzoek is nog niet afgerond. Hierdoor worden er geen verdere mededelingen gedaan door ChipSoft.
- Ben je door ChipSoft geïnformeerd? Dan zijn gegevens van jouw praktijk betrokken bij dit incident.
- Niet geïnformeerd? Dan lijkt de kans klein dat jouw praktijk is getroffen, maar blijf alert op nieuwe informatie.
Als jouw praktijk is getroffen, is het aan jou als huisarts om te beoordelen welke stappen nodig zijn, waaronder het informeren van patiënten. (lees verder op deze pagina)
De Autoriteit Persoonsgegevens geeft aan dat huisartsen, die ChipSoft als leverancier hebben, op basis van het contact en ontvangen informatie een (voorlopige) melding moeten doen. Voor veel betrokken huisartsen is deze melding inmiddels al gedaan via de regionale organisatie.
ChipSoft heeft bevestigd dat sprake is van een ransomware-incident. Uit voorzorg zijn meerdere systemen tijdelijk uitgeschakeld, waaronder Zorgportaal, HiX Mobile en het Zorgplatform. Er wordt gewerkt aan herstel met nieuwe beveiligingssleutels.
ChipSoft geeft aan dat het onderzoek naar de impact nog loopt en dat persoonsgegevens waarschijnlijk niet betrokken zijn. Op dit moment is er voor huisartsen geen aanleiding om zelf een datalekmelding te doen.
Uit contacten van de LHV met huisartsen, die werken met ChipSoft, concluderen we dat hun systemen werken en dat ze goede ondersteuning ervaren door de leverancier.
- Het incident speelt bij ChipSoft, leverancier van zorg-ict-systemen. Een klein deel van de huisartsenpraktijken werkt met een huisartsinformatiesysteem van Chipsoft.
- Ziekenhuizen melden verstoringen in systemen en processen.
- Huisartsen kunnen indirect hinder ervaren, bijvoorbeeld bij verwijzingen naar, of terugkoppeling van ziekenhuizen.
- ChipSoft geeft aan dat persoonsgegevens die zij verwerken waarschijnlijk niet betrokken zijn
- Het onderzoek naar de impact loopt nog .
Dit is wat wij als LHV nu weten. De precieze aard en omvang van dit incident zijn bij ons nog niet bekend. Wij zijn afhankelijk van de informatie van ChipSoft en Z-Cert. We staan hierover wel met hen in contact.
Wat betekent dit voor jou als huisarts?
Gebruik je als huisarts software van ChipSoft? Dan is inmiddels duidelijk dat er patiëntgegevens, waaronder medische gegevens, zijn buitgemaakt. Als huisarts ben je verwerkingsverantwoordelijke. ChipSoft is verwerker. Dat betekent dat jij verantwoordelijk bent voor de beoordeling van de gevolgen voor jouw praktijk.
Wacht het contact van ChipSoft niet passief af. Als je nog niet bent bereikt: neem (via je vaste contact) contact op met ChipSoft en vraag of jouw praktijk op de lijst van betrokken praktijken staat en wat dit concreet betekent voor jouw omgeving.
Ben je door ChipSoft geïnformeerd dat jouw praktijk is getroffen?
Dan moet je:
- Het datalek melden bij de Autoriteit Persoonsgegevens Meldformulier datalekken.
- Je patiënten zo snel mogelijk informeren als jouw praktijk betrokken is, denk aan je website en een brief.
- Je afwegingen vastleggen in je eigen administratie.
Wat kun je nog meer doen?
- Houd de berichtgeving van ChipSoft in de gaten (Veelgestelde vragen – ChipSoft Informatiepagina ransomware-incident) en volg updates van je RHO.
- Houd rekening met tijdelijke verstoringen in de samenwerking met ziekenhuizen.
- Gebruik je ChipSoft HiX als HIS? Stel je IT-(beveiligings)leverancier op de hoogte en vraag deze om extra alert te zijn op afwijkend netwerkverkeer.
- Maak een logboek en registreer relevante zaken rondom het datalek (bijvoorbeeld contactmomenten, acties en inzet van personeel en uren).
- Bereid je voor op vragen van patiënten en zorg voor een plek op je website waar je informatie kunt actualiseren.
- Pak je contract en verwerkersovereenkomst erbij. Kijk wat is afgesproken over incidentmelding, ondersteuning, aansprakelijkheid en kosten. Dit helpt om je verwachtingen richting ChipSoft concreet te maken.
- Neem contact op met je verzekeraar. In veel polissen moet je (mogelijk) incident/claimrisico tijdig melden. Vraag ook of zij eisen stellen aan communicatie of onderzoek.
- Betrek juridisch/privacy-advies. Zeker als er (mogelijk) patiëntgegevens betrokken zijn, is het verstandig om vroegtijdig juridisch advies of FG/privacy-ondersteuning aan te haken.
Rol van de LHV
De LHV volgt de situatie en benadrukt richting ChipSoft het belang van snelle en duidelijke informatie. Zodat huisartsen weten waar zij aan toe zijn en – indien nodig – kunnen handelen.
Zodra we meer informatie van ChipSoft ontvangen, vullen we dit bericht aan.
Heb je hulp nodig of vragen? Neem contact op met de LHV. Onze juristen, communicatie- en ICT-adviseurs staan voor je klaar. We waarderen het ook als je meldt dat jouw praktijk betrokken is, zodat we je gericht kunnen informeren
Bel 085 – 04 80 0000 of mail naar lhv@lhv.nl.
Is er binnen jouw huisartsenpraktijk een datalek ontstaan en zijn patiëntgegevens ongeoorloofd vernietigd, verloren, gewijzigd of verstrekt?
Dan ben je verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Op de themapagina Wat te doen bij een datalek en in de LHV-handleiding datalek in de huisartsenpraktijk lees je hoe je dat doet.
Ook vind je meer informatie in de Handreiking Meldplicht datalekken in de eerstelijnszorg van de KNMG.
En natuurlijk ga je in je eigen praktijk na wat hier uit valt te leren en verbeteren.
Veelgestelde vragen
Bij ChipSoft is een ransomware-aanval uitgevoerd waarbij patiëntgegevens, waaronder medische gegevens, zijn buitgemaakt. ChipSoft onderzoekt de situatie met forensische experts en heeft betrokken klanten geïnformeerd.
Huisartsen en andere zorgorganisaties kunnen volgens ChipSoft in de meeste gevallen doorwerken met de software. Wel kan er sprake zijn van indirecte gevolgen, zoals verstoringen in gegevensuitwisseling met ziekenhuizen en vertraging in verwijzingen.
Meld het bij de LHV als jij verstoringen ervaart, mogelijk kunnen we je helpen. Bel 085 – 04 80 0000 of mail naar lhv@lhv.nl.
Ja. Forensisch onderzoek heeft uitgewezen dat persoonsgegevens van patiënten, waaronder medische gegevens, zijn ontvreemd.
- Jij als huisarts: verwerkingsverantwoordelijke
- ChipSoft: verwerker
Dat betekent dat jij verantwoordelijk bent voor de beoordeling, melding en communicatie die nodig is voor jouw praktijk.
Als patiëntgegevens van jouw praktijk zijn betrokken en er risico is voor betrokkenen, ben je verplicht patiënten te informeren.
- Ben je door ChipSoft geïnformeerd? Beoordeel je situatie en bepaal je vervolgstappen.
- Doe een melding bij de Autoriteit Persoonsgegevens.
- Informeer patiënten.
- Volg updates van ChipSoft en je RHO.
- Houd rekening met verstoringen in de zorgketen.
- Werk zo nodig met alternatieve afspraken (bijv. telefonisch overleg).
De LHV:
- volgt de situatie.
- houdt contact met betrokken partijen.
- roept op tot snel duidelijkheid voor huisartsen.
Meer over informatiebeveiliging
Veilig omgaan met gegevens in de praktijk
Veilig omgaan met gegevens in de praktijk gaat verder dan wetten en systemen. Het gaat voor een belangrijk deel over gedrag. We geven je praktische tips.
Informatiebeveiliging
Als praktijkhouder of bestuurder ben jij verantwoordelijk voor de veiligheid van patiëntendossiers, medewerkersgegevens, financiële administratie, werkinstructies en contracten.
Wat te doen bij een datalek?
Wat doe je bij een datalek, wie is waarvoor verantwoordelijk en hoe handel je zorgvuldig, ook als het datalek bij een andere organisatie plaatsvindt.
Privacywet AVG
Deze pagina is onderdeel van het thema Privacywet AVG. De LHV ondersteunt je met uitleg, stappenplannen en voorbeelddocumenten voor een veilige omgang met patiëntgegevens.
Nieuws
Clinical Diagnostics (CD) gaat deze week huisartsen en daarna patiënten informeren die betrokken zijn bij het datalek van juli 2025.
[Update in bericht] Onlangs is het netwerk van laboratorium Clinical Diagnostics LCPL in Rijswijk (voorheen Eurofins) getroffen door een cyberaanval.
In 2024 is een belangrijke mijlpaal bereikt: maar liefst 70% van de huisartsen werkt nu met een Huisarts Informatie Systeem